关注云计算的安全设计

本文讲的是关注云计算的安全设计，眼下，在业界围绕“云计算”的讨论日趋激烈以及“云计算”应用在用户中逐步展开的同时，我们看到，与“云计算”应用相关的一系列技术还有待完善，更重要的是，云计算可能会引发的种种安全威胁，使得我们不得不去关注针对云应用的安全设计。

本文讲的是关注云计算的安全设计，【IT168 资讯】眼下，在业界围绕“云计算”的讨论日趋激烈以及“云计算”应用在用户中逐步展开的同时，我们看到，与“云计算”应用相关的一系列技术还有待完善，更重要的是，云计算可能会引发的种种安全威胁，使得我们不得不去关注针对云应用的安全设计。
安全专家Ariel Silverstone 认为，在“云”中处理的数据和应用不但难以管理，还会给使用这些数据和应用的人以及与数据相关的人带来不小的安全及隐私威胁。因此，关注云应用中的安全设计，并去解决“云计算”所引发的安全问题势在必行。
明确概念 了解应用
解决“云”中安全问题的前提是明确问题，只有这样才有可能提出应对问题的解决方法。我们先从了解与“云计算”相关的技术开始，云计算中可能会涉及到的技术主要包括: 网格、VMware和Xen的虚拟化技术、IBM的大型机技术、亚马逊的灵活存储技术、英特尔的虚拟机管理程序、页面文件技术等。
在了解“云计算”所涉及技术的同时，更重要的是要关注其有哪些突出的应用特点。为此，我们把“云计算”定义为具有以下特点的一项应用—基于服务的数据处理和存储功能，具有灵活和可扩展等特点。
很多人在给“云计算”下定义时，常常会去强调是通过互联网来获得的。“我倒觉得这个部分并不是必需要强调的内容，这样可能会更有利于我们去讨论云计算的安全问题。” Ariel Silverstone说，“获取方式相对于安全基本原则来说是次要的，因为这其中还可能会包括通过本地虚拟机获得的计算资源。”
安全问题凸显
通常来说，用户使用云计算的目的是避免构建或获取服务器等基础架构所需的成本。与之相似的是通过虚拟化技术，用户不必再去购买更多的服务器产品。直接获取计算资源（包括存储和数据处理能力等）这个概念确实很吸引人，在不远的将来，用户不用再去关心计算资源是放在本地，还是放在位于世界不同地方的数据中心，只要云计算服务提供商能够及时、有效地提供计算服务，用户就会感到满意。
不过，用户一旦开始应用云计算，安全问题就会凸显。因为云计算的应用模式使得用户对“深层防御”拥有极小的控制权，甚至并不拥有直接控制权。比如，亚马逊给企业级用户提供的EC2服务，用户就几乎没有控制权可言。“有的时候，用户连被告知某项服务即将出问题的基本服务都享受不到。” Ariel Silverstone对目前云服务提供商所提供的服务的安全性提出了质疑。
使用了云计算服务后，用户就再也无法控制进入处理空间的入口。以亚马逊的服务为例，这个入口是设在亚马逊的路由器以及防火墙上的。可以说，用户是把内存中的系统和进程交给“黑盒子”来处理，而用户对这个“黑盒子”很少拥有控制权。这些就是云计算可能会引发的安全问题，同样还会连锁反应引发很多法律问题。
法规有待健全
如果用户在云应用环境的虚拟机上存储或处理的数据受到威胁，会引发什么样的后果呢？用户自己会知道受到威胁了吗？要是用户不知道，该怎么去按照数据泄露的相关法规通知相关人员呢？怎么才能知道是否提升了自身的安全性呢？
我们仔细研究一下亚马逊的云服务合同，就会发现存在很多问题，或者说是很多条款是不合理的。当然这只是个例子而已，我们并不是把矛头指向亚马逊。
比如，第4.3条款中规定: 我们对下列情况不负责任：未经授权的访问、更改或删除、销毁、损害、弄丢或无法存储的内容（10.2条款中对无法存储的内容做了明确定义）、应用程序，或者提交、使用了与账户或服务有关的其他数据。
第7.2条款中规定: 我们对于任何未经授权的访问或使用、破坏、删除、销毁或弄丢任何你的内容或应用的程序不负有责任。
在该合同中，服务提供商并不认可通知数据所有者任何泄密事件以及通知用户任何被破坏行为的任何法律责任或义务，也不针对任何事件做出承诺。也就是说，服务商不用去遵从泄密后通知用户的任何法律责任。正因如此，要想让“云计算”实现大幅度改善IT基础设施性能的任务，就必须先从解决“云”及“云”中数据面临的安全问题开始。

原文发布时间为：2009-07-15
本文作者：IT168.com
本文来自云栖社区合作伙伴IT168，了解相关信息可以关注IT168。
原文标题：关注云计算的安全设计

阿里云肖力：数字化改革的云计算安全 10月11日，浙江省网络安全宣传周活动启动，阿里巴巴集团副总裁，阿里云安全总经理肖力受邀参与“云谷论剑”网络安全高峰论坛活动，分享了数字化改革中，云安全如何助力企业构建更高等级的新一代基础设施。
数字化首个安全生产标准 阿里云联合信通院发布《基于云计算的数字化业务安全工程要求》 7月28日，国内首部专注于数字化业务安全生产的《基于云计算的数字化业务安全工程要求》标准在2021可信云大会上发布。该标准由阿里云混合云和中国信通院联合牵头，多家国内知名企业参与制定，填补了数字化业务安全生产标准的空白，标志着该领域进入到了有标可依的新阶段。
数字化首个安全生产标准！阿里云混合云联合信通院发布《基于云计算的数字化业务安全工程要求》 7月28日，国内首部专注于数字化业务安全生产的《基于云计算的数字化业务安全工程要求》标准在2021可信云大会上发布。该标准由阿里云混合云和中国信通院联合牵头，多家国内知名企业参与制定，填补了数字化业务安全生产标准的空白，标志着该领域进入到了有标可依的新阶段。
浅谈网络安全等级保护2.0下的云计算安全风险 随着大数据、云计算、移动互联等新技术的出现，原有网络安全标准体系已不再适应当前的网络防护需求，经国家相关部委的重新修订，我国正式进入到网络安全等级保护2.0时代。本文将对网络安全等级保护 2.0 背景下，云计算安全风险和云计算安全系统要点进行简要分析，并在此基础上探索行之有效的云计算安全风险保护策略，以期提升网络安全等级保护 2.0 下云计算安全保护水平，推动相关行业的持续发展。
云计算之云基础设施安全 在云计算中，基础设施有两个大层面，汇聚在一起用来构建云的基础资源，这层用于构建云资源池的原始的、物理的和逻辑的计算（处理器，内存等），网络和存储资源，由云用户管理的虚拟/抽象的基础设施，例如各个云平台中的服务器基础设施等，这层是从资源池中使用的计算、网络和存储资产，例如，由云用户定义和管理的虚拟网络的安全性
云计算对应用程序和架构设计的安全影响 应用安全包含了一个非常复杂和庞大的知识体系:从早期设计和威胁建模去维护 和防护生产应用程序。随着应用程序开发实践的不断进步和采用新的流程、模式和技术，应用安全也在以难以置信的速度发展。云计算是这些进步的最大驱动因素之一， 它会产生相应的压力，使应用安全的状态发生变化，以确保这种进展尽可能安全地继续下去。本篇文章旨为希望在云计算环境中安全的构建和部署应用程序，特别是 PaaS 和 IaaS 的软件开发团队而提出的有助于减少常见安全问题若干建议
这些知识点你都了解了吗？#云安全CCSK-M2：云计算基础设施安全 内容概述：云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节，包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全，包括容器和无服务器的基础知识。